LGU+, 통화 유출 ‘익시오’의 고객 배신 … 무늬만 온디바이스였나

 “온디바이스 소형언어모델(SLM)을 활용해 보다 안전하게 고객 가치를 제공하기 위해서 적극적으로 협력을 수행하고 있습니다.”

전병기 LG유플러스 AX그룹장(전무)가 지난 6월 AI 통화앱 ‘익시오’의 보안에 강조했던 말이다. 이런 LG유플러스 자신감이 무색해졌다. ‘익시오’의 통화 정보가 제3자에게 유출되는 사고가 발생했기 때문이다. 

회사 측은 관리자의 실수라고 설명하고 있지만 근본적 원인은 따로 있다. 고객의 통화 요약 내역이 고객의 디바이스가 아닌 LG유플러스 서버에 저장돼 왔던 것. 그동안 LG유플러스가 강조해온 온디바이스(On-Device)가 사실상 무늬만 온디바이스에 그쳤다는 지적이 나온다.

8일 LG유플러스에 따르면 회사는 지난 2일부터 3일까지 고객 36명의 ▲통화 상대방 전화번호 ▲통화 시각 ▲통화내용 요약 정보가 다른 이용자 101명에게 노출되는 사고가 발생했다. 

최근 ‘익시오’ 서비스의 운영 개선 작업 과정에서 캐시(임시 저장 공간) 설정과정의 오류가 원인이었다. 회사 측은 관리자의 실수라는 입장이지만 논란은 적지 않다. 그도 그럴 것이 LG유플러스는 ‘익시오’에 대해 온디바이스를 통해 뛰어난 보안과 프라이버시를 강조해왔기 때문.

온디바이스는 쉽게 말해 단말기 내부에 모든 정보를 저장해 외부로 노출되지 않게 한다는 뜻이다. 그러나 ‘익시오’의 온디바이스는 절반에 그쳤다. 통화 녹음이나 통화 텍스트는 그대로 단말기에 저장됐지만 통화 상대방, 통화시각과 통화내용 요약, 통화 한줄 요약, 통화 내역 키워드 등이 LG유플러스 서버에 저장됐던 것. 

특히 민감한 것은 통화 요약이다. 통화 요약은 AI가 통화 내역을 몇 줄로 요약해 저장하는 기술인데, 통화 내용에 따라선 민감정보와 사생활 정보가 담길 가능성이 높다. 

LG유플러스 관계자는 “휴대폰을 교체하거나 앱을 새로 설치할 때, 기존 통화 내역, 통화 요약을 지속적으로 활용하기 위해 6개월간 서버에 저장해왔다”며 “유출된 정보에는 주민등록번호, 여권번호 등 고유식별정보와 금융정보는 포함되지 않았다”고 해명했다.

이런 해명에도 무늬만 온디바이스였던 ‘익시오’에 대한 불안은 지속될 전망이다. SK텔레콤의 비슷한 통화 AI 앱 ‘에이닷 전화’는 LG유플러스 정보유출의 원인이 된 통화기록 캐시를 운영하지 않고 있고 암호화 저장 및 사용자 식별과 인증 후 구간 전송 암호화 등으로 보안을 강화하고 있다. 반면 ‘익시오’는 직원의 실수만으로 제3자에게 통화요약이 암호화 없이 고스란히 노출됐다.

보안업계 관계자는 “주민번호, 금융정보 유출이 없었다는 회사 측 해명은 사실상 고객의 통화요약 내용을 회사 측이 살펴봤다는 뜻이라 더 납득하기 어렵다”며 “온디바이스는 커녕 내부에서 고객 정보 관리가 어떻게 되고 있는지 점검해야 할 필요가 있다”고 전했다.